Ważnym elementem przyjętej przez Parlament Europejski oraz Radę Europy Dyrektywy PSD2 (Payment Services Directive), sygnatura 2015/2366, z dnia 20 listopada 2015 roku jest zapis dotyczący Silnego Uwierzytelnienia Klienta (SCA – Strong Customer Authentication).
Zmiany mają na celu poprawę bezpieczeństwa klientów banków, a w szczególności szczelniejszą ochronę płatności dokonywanych sposobem elektronicznym.
Istotą zmian, które wprowadzają założenia SCA, jest wprowadzenie uwierzytelnienia zlecenia płatności przez dwa z trzech elementów, które określają kategorie:
1. Wiedza – coś, co wie tylko i wyłączenie użytkownik (klient) – na przykład hasło lub kod PIN.
2. Posiadanie – coś co posiada tylko i wyłącznie użytkownik (klient) – może być to indywidualny token.
3. Cecha – coś, co prawodawcy określili jako „coś, czym jest użytkownik” – należy to rozumieć jako rozpoznanie głosowe, lub odcisk palca.
Nowy sposób uwierzytelnienia będzie obowiązywał klienta przy niemal każdej operacji wykonywanej za pośrednictwem bankowości internetowej. Przewidziano jednak pewne wyjątki. Z SCA wyłączone są płatności nieprzekraczającej ustalonej niskiej kwoty (rozporządzenie, które uzupełnia dyrektywę PSD2 oznaczone jest sygnaturą 2018/389) – 30 euro przy płatności jednorazowej, sumy transakcji niskokwotowych nieprzekraczających 100 euro, a liczba płatności od ostatniego silnego uwierzytelnienia nie przekroczy pięciu.
Kolejnym wyjątkiem są płatności do zaufanych odbiorców. Jednakże wcześniejsze zdefiniowanie zaufanego odbiorcy musi przejść przez procedurę Silnego Uwierzytelnienia Klienta. Podobnie sprawa wygląda w przypadku płatności dokonywanych cyklicznie. Po przejściu SCA nie będzie potrzeby autoryzowania kolejnych, zleconych przelewów.
SCA nie będzie też obowiązywało przy płatnościach samoobsługowych, którymi regulujemy na przykład koszty przejazdu – czy to w biletomacie, czy na bramce na autostradzie.
Jeśli chodzi o dostęp do własnej bankowości, uwierzytelnianiu metodą SCA nie będzie podlegał dostęp do naszego salda i historii rachunku z ostatnich 90 dni. Pamiętać należy, że przy pierwszym logowaniu do bankowości SCA będzie obowiązkowe, jak również procedurę będziemy musieli przechodzić co kolejne 90 dni.
Jeśli będziemy chcieli przelać środki samemu sobie (z rachunku na rachunek), SCA nie będzie stosowana w przypadku przelewów wewnątrz tego samego banku.
Powyższe zmiany wejdą w życie już 14 września, dlatego rekomendujemy dokładne zapoznanie się z informacjami, które od pewnego czasu dostarczane są nam przez obsługujące nas instytucje finansowe. Banki mają obowiązek informować o wszystkich zmianach w sposobach autoryzacji, dlatego tak ważnym jest by zwracać uwagę na wszelkie komunikaty związane z bezpieczeństwem naszych rachunków bankowych, a więc naszych oszczędności.
Zachęcamy również do zapoznania się z treścią Dyrektywy PSD2, którą można znaleźć na stronach EUR-LEX → https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32015L2366